Permissões de consentimento de aplicativo para funções personalizadas no Microsoft Entra ID
Este artigo contém as permissões de consentimento de aplicativo atualmente disponíveis para definições de função personalizadas no Microsoft Entra ID. Neste artigo, você encontrará as permissões necessárias para alguns cenários comuns relacionados ao consentimento e às permissões do aplicativo.
Requisitos de licença
O uso desse recurso requer licenças do Microsoft Entra ID P1. Para encontrar a licença certa para os seus requisitos, veja Compare as funcionalidades geralmente disponíveis do Microsoft Entra ID.
Permissões de consentimento do aplicativo
Use as permissões listadas neste artigo para gerenciar políticas de consentimento de aplicativos, bem como a permissão para conceder consentimento a aplicativos.
Observação
O centro de administração do Microsoft Entra ainda não suporta a adição das permissões listadas neste artigo a uma definição de função personalizada. Você deve usar o Microsoft Graph PowerShell para criar um de função personalizado com as permissões listadas neste artigo.
Conceder permissões delegadas a aplicações em nome próprio (consentimento do utilizador)
Para permitir que os usuários concedam consentimento a aplicativos em nome deles mesmos (consentimento do usuário), sujeito a uma política de consentimento do aplicativo.
- microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id}
Onde {id} é substituído pela ID de um política de consentimento do aplicativo que definirá as condições que devem ser atendidas para que essa permissão esteja ativa.
Por exemplo, para permitir que os usuários concedam consentimento em seu próprio nome, sujeito à política de consentimento de aplicativo interna com ID microsoft-user-default-low, você usaria a permissão ...managePermissionGrantsForSelf.microsoft-user-default-low.
Conceder permissões a aplicações em nome de todos (consentimento do administrador)
Para delegar o consentimento de administrador de todo o locatário a aplicativos, tanto para permissões delegadas quanto para permissões de aplicativos (funções de aplicativo):
- microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id}
Quando {id} é substituído pela ID de uma política de consentimento do aplicativo que definirá as condições que devem ser atendidas para que essa permissão seja utilizável.
Por exemplo, para permitir que os cessionários de função concedam consentimento de administrador abrangente a aplicativos sujeitos a uma política de consentimento de aplicativo personalizada com ID low-risk-any-app, usaria a permissão microsoft.directory/servicePrincipals/managePermissionGrantsForAll.low-risk-any-app.
Gerenciando políticas de consentimento de aplicativos
Para delegar a criação, atualização e exclusão de políticas de consentimento da aplicação .
- microsoft.directory/permissionGrantPolicies/criar
- microsoft.directory/permissionGrantPolicies/standard/read
- microsoft.directory/permissionGrantPolicies/basic/update
- microsoft.directory/permissionGrantPolicies/excluir
Lista completa de permissões
| Permissão | Descrição |
|---|---|
| microsoft.directory/servicePrincipals/managePermissionGrantsForSelf.{id} | Concede a capacidade de consentir com aplicativos em nome próprio (consentimento do usuário), sujeito à política de consentimento do aplicativo {id}. |
| microsoft.directory/servicePrincipals/managePermissionGrantsForAll.{id} | Concede a permissão para consentir aplicações em nome de todos (consentimento de administrador em todo o inquilino), de acordo com a política de consentimento de aplicações {id}. |
| microsoft.directory/permissionGrantPolicies/standard/read | Leia as propriedades padrão das políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/basic/update | Atualizar propriedades básicas de políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/criar | Criar políticas de concessão de permissão |
| microsoft.directory/permissionGrantPolicies/excluir | Excluir políticas de concessão de permissão |